Dernière mise à jour : juillet 2026
En bref : SPF, DKIM et DMARC ne sont pas trois options entre lesquelles choisir — c’est un seul système. SPF et DKIM sont deux vérifications indépendantes qu’un destinataire exécute ; DMARC est la politique qui décide de ce qui arrive quand les deux échouent. Il te faut les trois, et tu déploies DMARC progressivement.
On demande souvent « SPF ou DKIM ? » comme s’il fallait en choisir un. C’est le mauvais cadre. Chacun répond à une question différente, et DMARC ne fonctionne qu’une fois les deux en place. Voici la répartition du travail.
Ce que chacun vérifie réellement
| Standard | Question à laquelle il répond | Où il vit | Survit au transfert ? |
|---|---|---|---|
| SPF | Le serveur expéditeur a-t-il le droit d’envoyer pour ce domaine ? | Enregistrement TXT (v=spf1 …) | Non |
| DKIM | Le message a-t-il été signé par le domaine, sans altération ? | Clé publique dans le DNS + signature dans les en-têtes | Oui |
| DMARC | Que faire si les deux vérifications échouent — et les domaines sont-ils alignés ? | Enregistrement TXT (v=DMARC1 …) | n/a — c’est la politique |
SPF vérifie le chemin
SPF regarde le serveur qui a livré le message et demande s’il figure dans la liste publiée du domaine. Il est lié à la connexion, donc il casse dès qu’un message est transféré — le serveur qui transfère n’est pas dans ton enregistrement. Ce n’est pas un bug qu’on peut corriger ; c’est inhérent au fonctionnement de SPF, et c’est une grande raison de l’existence de DKIM.
DKIM vérifie le message
DKIM ignore complètement le chemin. Le message porte une signature cryptographique ; le destinataire récupère ta clé publique dans le DNS et la vérifie. Si elle est valide, le message est vraiment passé par ton infrastructure et n’a pas été altéré. Comme la signature voyage avec le message, DKIM continue de passer même après un transfert.
DMARC vérifie l’alignement et décide
Voici la partie subtile. SPF et DKIM valident chacun un domaine — mais pas nécessairement le domaine qu’un humain voit dans le champ « From ». DMARC ajoute l’alignement : il exige que le domaine validé par SPF ou DKIM corresponde au domaine From visible. Un message passe DMARC si au moins l’une des vérifications SPF ou DKIM réussit et s’aligne. Ensuite, ta politique DMARC — p=none, p=quarantine ou p=reject — décide du sort de tout ce qui échoue.
C’est pourquoi DMARC sans SPF et DKIM n’a pas de sens : il n’a rien à évaluer.
Pourquoi il te faut SPF et DKIM, pas l’un des deux
Parce qu’ils échouent dans des situations différentes, ils se couvrent mutuellement :
- Un message que tu envoies directement à un destinataire : SPF et DKIM passent tous les deux.
- Un message qui est transféré : SPF casse, mais DKIM survit — DMARC passe encore grâce à la branche DKIM.
- Une liste de diffusion qui réécrit le message : DKIM peut casser, mais si elle réécrit l’expéditeur d’enveloppe, SPF peut porter la réussite.
N’en exécuter qu’un seul laisse DMARC faire échouer du courrier légitime exactement dans ces cas limites. Deux vérifications indépendantes signifient que l’une peut échouer sans te coûter la distribution.
La montée vers l’application
La plus grosse erreur est de sauter directement à p=reject. Fais-le à l’aveugle et tu rejetteras du courrier légitime d’un outil de newsletter ou d’un CRM que tu avais oublié. Le chemin sûr a trois étapes :
p=none— observer. Publie DMARC en mode surveillance. Tu ne bloques rien, mais les destinataires commencent à t’envoyer des rapports agrégés. Lis-les pendant quelques semaines et dresse la liste complète de tout ce qui envoie légitimement en ton nom.p=quarantine— application douce. Le courrier en échec va au spam au lieu de la boîte de réception. Continue de lire les rapports. Corrige toute source légitime qui échoue encore — souvent unincludeSPF manquant ou une signature DKIM jamais activée.p=reject— application complète. Le courrier en échec est rejeté d’emblée. C’est le but : personne ne peut usurper ton domaine jusque dans une boîte de réception. N’y arrive qu’une fois les rapports propres.
Tu peux aussi démarrer quarantine et reject avec un tag de pourcentage pour un déploiement graduel. Le principe reste le même : laisse les rapports te dire quand il est sûr de serrer.
Où configurer tout ça
Les trois enregistrements vivent dans ton DNS, donc les étapes exactes dépendent d’où sont ton DNS et tes boîtes mail. Choisis ton hébergeur dans les guides par fournisseur — chacun déroule SPF, DKIM et DMARC pour ce panneau d’administration précis. Ou pars de l’aperçu de la pile complète si tu veux aussi la couche transport (TLS, MTA-STS, DANE).
Vérifier le résultat
Le scanner MXAudit gratuit vérifie les trois d’un coup : si ton enregistrement SPF est syntaxiquement valide et sous la limite des 10 lookups, si tes clés DKIM se résolvent, et sur quoi ta politique DMARC est réglée. C’est le moyen le plus rapide de confirmer que les trois fonctionnent vraiment ensemble — pas seulement qu’ils existent.
